Aux premiers jours de l’avènement d’Internet, l’infrastructure à clés publiques (ICP) a été présentée comme le moyen le plus sécurisé d’authentifier les utilisateurs, les périphériques et les documents.
Leur enthousiasme grandissant, les décideurs informatiques ont commencé à se pencher sur ce phénomène et les articles ont fleuri.
Et puis subitement, des réactions hostiles à l’ICP ont commencé à se multiplier dans les médias, comme l’explique Julian Lovelock, directeur principal chez ActivIdentity, l’un des principaux éditeurs mondiaux de solutions d’identification sécurisée et membre du groupe HID Global.
« On a assisté à un battage démesuré. Cette infrastructure était arbitrairement complexe et nécessitait un travail intensif de gestion des clés avec d’autres entités pour proposer certaines fonctionnalités comme le chiffrement ou la signature numérique d’un courrier électronique. Son fonctionnement était trop complexe pour de simples “mortels” informaticiens et il existait évidemment des méthodes d’authentification plus simples, comme les jetons OTP, auxquelles les entreprises pouvaient avoir recours. L’ICP était pratiquement considérée comme le grand méchant loup de l’informatique ! », selon Julian Lovelock.
« Et puis il s’est produit quelque chose d’insolite. Tout d’abord, l’ICP a été adoptée par des gouvernements et de puissants logiciels de gestion des certificats (CMS, Credential Management Software) ont été créés pour automatiser la plupart des tâches de génération, de mise à jour et de révocation. »
« Les fournisseurs d’écosystème comme Microsoft, Juniper et Cisco ont intégré la prise en charge ICP dans leurs offres. Finalement, les logiciels CMS ont trouvé leur place dans des serveurs monofonctionnnels capables d’offrir une solution plus simple, avec un “espace optimal” adapté à une ICP “en boucle fermée” (l’émetteur et l’authentificateur font partie de la même architecture, ce qui réduit considérablement le nombre de composantes du système) », ajoute Julian Lovelock.
« Deuxièmement, les menaces de sécurité ont commencé à se tourner vers certaines facettes des mots de passe à usage unique les plus courants (comme dans le cas des récentes intrusions dont ont été victimes certains fournisseurs de solutions de sécurité et organismes gouvernementaux). Résultat : les entreprises ont commencé à s’interroger sur les meilleures méthodes d’authentification existantes. »
Aujourd’hui, les regards se tournent de nouveau vers l’ICP. Bon nombre de personnes nourrissent toujours un soupçon irréfléchi envers elle — et ont l’impression que cette infrastructure a été conçue exprès pour qu’ils se sentent idiots — mais l’ICP moderne en boucle fermée gérée par serveur monofonctionnel fait exactement l’inverse. Les nouveaux serveurs CMS sont conçus de telle sorte que le service informatique n’a même pas besoin de comprendre le fonctionnement de l’ICP pour déployer une solution de cartes à puce d’envergure.
Comme l’explique encore Julian Lovelock : « A posteriori, on constate que ce phénomène Internet a pâti d’une publicité excessive et précoce — avant que les outils nécessaires à sa gestion soient en place — et de l’enthousiasme exagéré des experts en matière de sécurité, qui ont cherché à décrire la solution ICP la plus sophistiquée possible, alors même que très peu d’utilisateurs d’entreprise avaient besoin de fonctionnalités aussi ésotériques, complexes et ardues. Lorsque les fournisseurs de solutions ICP se sont laissés aller à expliquer tous les cas de figure possibles, ils ont détourné les utilisateurs potentiels des cas de figure à plus forte valeur et à moindre coût. »
« Si je vous disais que je peux vous fournir un périphérique qui se branche tout simplement sur votre PC, qui fonctionne comme une carte de retrait et qui vous permet d’accéder de façon sécurisée à vos ordinateurs, réseaux, applications sur le Cloud et VPN, vous penseriez probablement : “Eh bien, ça a l’air plus simple à utiliser que les jetons OTP. Où est-ce que je signe ?”... Ce n’est plus l’ICP qu’ont connu nos parents ! », conclut Julian Lovelock.
|
